譚鳳興

摘 要： 隨著網(wǎng)絡(luò)的發(fā)展，高效、穩(wěn)定的校園網(wǎng)絡(luò)是學(xué)校走向信息化發(fā)展的首要選擇。一個(gè)好的校園網(wǎng)，高效、穩(wěn)定非常重要，為達(dá)到高效、穩(wěn)定的要求，作者重點(diǎn)介紹了防火墻冗余負(fù)載均衡具體的設(shè)計(jì)。

關(guān)鍵詞： 校園網(wǎng) 負(fù)載均衡 NAT HSRP

大型的網(wǎng)絡(luò)安全必須使用防火墻，但是價(jià)格昂貴，對(duì)于現(xiàn)在設(shè)計(jì)的中小型網(wǎng)絡(luò)來(lái)說(shuō)可通過(guò)配置路由器或三層交換機(jī)的訪問(wèn)控制列表發(fā)揮防火墻的功能。三層交換機(jī)做防火墻的最大優(yōu)點(diǎn)是包過(guò)濾速度很快，這是因?yàn)槿龑咏粨Q機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包是基于硬件的。三層交換機(jī)處于網(wǎng)絡(luò)的第三層網(wǎng)絡(luò)層，因?yàn)槭呛诵膶铀宰钊菀自馐芎诳偷墓?。在軟件方面，那些防火墻可以通過(guò)高可靠性的配置阻止來(lái)路不明的數(shù)據(jù)包輸入，可以控制訪問(wèn)列表，通過(guò)對(duì)訪問(wèn)列表的配置限制內(nèi)部用戶訪問(wèn)一些不可靠的網(wǎng)絡(luò)地址，也可以防止校外的非法訪問(wèn)者訪問(wèn)校園的內(nèi)部網(wǎng)絡(luò)。三層交換機(jī)具有可擴(kuò)展性，不需要對(duì)原來(lái)網(wǎng)絡(luò)的已有設(shè)備進(jìn)行改動(dòng)的情況下可直接擴(kuò)充增加新設(shè)備，使得學(xué)校的投資不會(huì)有太多損失。

1.防火墻的數(shù)據(jù)包的流動(dòng)過(guò)程

來(lái)自因特網(wǎng)的主機(jī)訪問(wèn)DMZ區(qū)的WWW服務(wù)器為例，若規(guī)則的配置采取默認(rèn)禁止，允許訪問(wèn)的服務(wù)已在規(guī)則中列出。首先，Inter主機(jī)發(fā)起的訪問(wèn)請(qǐng)求數(shù)據(jù)包流入防火墻，目的IP地址為要訪問(wèn)的服務(wù)器，目的端口為T(mén)CP80，源地址為本地IP地址，源端口使用當(dāng)前未使用的較低端的端口，來(lái)自因特網(wǎng)的訪問(wèn)請(qǐng)求都從WAN口流入，要在流入方向應(yīng)用訪問(wèn)控制列表，允許其對(duì)端口為T(mén)CP80的服務(wù)器進(jìn)行訪問(wèn)。經(jīng)防火墻路由的過(guò)濾后，從DMZ口流出到達(dá)目標(biāo)服務(wù)器。服務(wù)器收到請(qǐng)求，回應(yīng)數(shù)據(jù)包從防火墻的DMZ口流入。在DMZ口的In方向應(yīng)用的訪問(wèn)控制列表中添加允許響應(yīng)包通過(guò)的規(guī)則。再經(jīng)防火墻的路由選擇，從WAN口流出，到過(guò)發(fā)起訪問(wèn)請(qǐng)求的主機(jī)。

2.防火墻冗余負(fù)載均衡

防火墻的冗余負(fù)載均衡主要是通過(guò)HSRP實(shí)現(xiàn)。如下圖所示。

對(duì)R1和R3做網(wǎng)關(guān)冗余，其中R1為192.168.10.0/24的主網(wǎng)關(guān)，R3為備份網(wǎng)關(guān)；相反，R1為192.168.11.0/24的備份網(wǎng)關(guān)，R3為主網(wǎng)關(guān)。

R1的g0/1的ip地址設(shè)為192.168.10.2/24，設(shè)置一個(gè)stanby 10組，虛擬ip為192.168.10.1，優(yōu)先級(jí)為105，并且跟蹤s0/3/0和g0/1。

R1的g0/2的ip地址設(shè)為192.168.11.2/24，設(shè)置一個(gè)stanby 11組，虛擬ip為192.168.11.1，優(yōu)先級(jí)為100，并且跟蹤s0/3/0和g0/2。

R1上的配置如下所示：

Int g0/1

Ip address 192.168.10.2 255.255.255.0

no shutdown

standby 10 ip 192.168.10.1

standby 10 pri 105

standby 10 pre

standby 10 trac s0/3/0

standby 10 trac g0/1

int g0/2

ip address 192.168.11.2 255.255.255.0

no shutdown

standby 11 ip 192.168.11.1

standby 11 pri 100

standby 11 pre

standby 11 trac s0/3/0

standby 11 trac g0/2

R3的配置與以上R1的配置類似。

SW4和SW5的g0/1劃分為vlan 10，都屬于access口；SW4和SW5的g0/2劃分為vlan 11，都屬于access口；在SW4上設(shè)置vlan10虛接口的ip地址為：192.168.10.4/24，vlan11虛接口的ip地址位：192.168.11.4/24；在SW5上設(shè)置vlan10虛接口的ip地址為192.168.10.5/24，vlan11虛接口的ip地址為192.168.11.5/24。

SW4上的配置如下所示：

Int g0/1

Switch mode access

Switch access vlan 10

Int g0/2

Switch mode access

Switch access vlan 11

exit

Int vlan 10

ip address 192.168.10.4 255.255.255.0

no shutdown

int vlan 11

ip address 192.168.11.4 255.255.255.0

no shutdown

SW5的配置與以上SW4的配置類似。

在SW4和SW5上分別設(shè)置去往外網(wǎng)的靜態(tài)路由和路由黑洞如下所示：

Ip route 0.0.0.0 0.0.0.0. 192.168.10.1

Ip route 0.0.0.0 0.0.0.0. 192.168.11.1

Ip route 192.168.0.0 255.255.0.0 null 0

在R1和R3上配置靜態(tài)路由：

在R1上的設(shè)置如下所示：

Ip route 0.0.0.0. 0.0.0.0 202.202.202.1

Ip route 192.168.0.0 255.255.0.0 192.168.10.4

Ip route 192.168.0.0 255.255.0.0 192.168.11.4

R3靜態(tài)路由的配置與R1相似。

參考文獻(xiàn)：

[1]張維.淺析負(fù)載均衡技術(shù)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（8）：31.

[2]江玉儉.基于三層交換機(jī)做防火墻的校園網(wǎng)配置[J].技術(shù)創(chuàng)新論，1994-2012：173.